¿Qué requiere el control A.1.2.8?
La organización determinará las funciones y responsabilidades respectivas para el tratamiento de la información personal identificable (incluida la protección de dicha información y los requisitos de seguridad) con cualquier responsable conjunto del tratamiento de dicha información.
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2). Aborda un escenario específico pero cada vez más común: donde dos o más organizaciones determinan conjuntamente los fines y los medios del procesamiento de PII. A diferencia de la relación controlador-encargado del tratamiento regida por A.1.2.7 Contratos con procesadores de información personal identificableLa custodia compartida implica una autoridad compartida para la toma de decisiones y, por lo tanto, una responsabilidad compartida.
La corresponsabilidad en el tratamiento de datos surge cuando las organizaciones colaboran en actividades que implican información personal identificable (PII), por ejemplo, campañas de marketing conjuntas, plataformas compartidas, colaboraciones en investigación o servicios integrados en los que ambas partes influyen en qué datos se recopilan y cómo se utilizan.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.8) proporciona la siguiente orientación:
- Acordar las responsabilidades respectivas — Los responsables conjuntos del tratamiento deben acordar qué organización es responsable de cada obligación derivada del tratamiento de datos personales, en particular en lo que respecta a:
- Ejercicio de los derechos del titular de la información personal identificable (solicitudes de acceso, supresión, rectificación, portabilidad)
- Proporcionar la información requerida a los responsables de la información de identificación personal (avisos de privacidad, obligaciones de transparencia).
- Implementación de medidas de seguridad
- Notificación de incumplimiento
- Vea también A.1.2.2: Identificar y documentar el propósito para requisitos relacionados
- Vea también A.1.2.3: Identificar la base legal para requisitos relacionados
- Poner el acuerdo a disposición de los directivos de PII. — La esencia del acuerdo de corresponsabilidad debe ponerse a disposición de las personas cuyos datos personales se están procesando, para que sepan a qué organización contactar para qué.
- Documentar formalmente el acuerdo — Si bien el control no utiliza la palabra “contrato”, el requisito de “determinar” roles y responsabilidades implica un acuerdo formal y documentado entre las partes.
La guía reconoce que, en la práctica, un corresponsable del tratamiento puede asumir el liderazgo en ciertas obligaciones (como ser el principal punto de contacto para las solicitudes de los interesados), pero esto no exime a los demás responsables del tratamiento de sus responsabilidades.
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.8 se asigna directamente a GDPR Artículo 26:
- Artículo 26 (1) — Cuando dos o más responsables del tratamiento determinen conjuntamente los fines y los medios del tratamiento, deberán determinar de forma transparente sus respectivas responsabilidades en cuanto al cumplimiento de las obligaciones establecidas en la Ley de Protección de Datos. GDPR, en particular en lo que respecta al ejercicio de los derechos de los interesados y sus respectivas obligaciones de proporcionar información.
- Artículo 26 (2) — El acuerdo deberá reflejar debidamente las funciones y relaciones respectivas de los responsables conjuntos del tratamiento con respecto a los interesados. La esencia del acuerdo deberá ponerse a disposición del interesado.
- Artículo 26 (3) — Independientemente de los términos del acuerdo, los interesados pueden ejercer sus derechos en virtud del RGPD con respecto a y contra cada uno de los responsables del tratamiento. Este es un punto crucial: los acuerdos internos no pueden limitar los derechos de los titulares de información personal identificable.
El artículo 26(3) es particularmente importante: incluso si los responsables conjuntos del tratamiento acuerdan que la Organización A gestione todas las solicitudes de los interesados, un individuo aún puede dirigir su solicitud a la Organización B, que deberá entonces gestionarla o remitirla adecuadamente. Ambas organizaciones siguen siendo responsables.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el Responsabilidad Principio de la norma ISO 29100. La rendición de cuentas exige que el tratamiento de la información personal identificable (IPI) sea responsabilidad de partes claramente identificadas que puedan ser responsabilizadas por sus acciones. La corresponsabilidad genera una situación en la que la responsabilidad debe asignarse explícitamente; sin un acuerdo formal, puede resultar confuso qué organización es responsable de cada obligación, lo que socava todo el marco de rendición de cuentas.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.8, los auditores generalmente buscarán lo siguiente:
- Registro del controlador conjunto — Una lista documentada de todos los acuerdos de corresponsabilidad del tratamiento de datos en los que la organización participa, con la identidad de cada corresponsable del tratamiento y las actividades de tratamiento cubiertas.
- acuerdos de control conjunto — Acuerdos escritos y firmados que establecen la distribución de responsabilidades entre las partes.
- Matriz de responsabilidades — Un mapeo claro de qué responsable del tratamiento gestiona qué obligación (derechos del interesado, notificación de violaciones de seguridad, seguridad, transparencia).
- Comunicación principal de PII — Evidencia de que la esencia del acuerdo de corresponsabilidad se comunica a los titulares de datos personales, generalmente a través de avisos de privacidad o páginas informativas específicas.
- Designación de punto de contacto — Un único punto de contacto documentado para los responsables de la información de identificación personal, incluso cuando las responsabilidades estén divididas entre los controladores.
- Procedimientos operacionales — Procesos para gestionar situaciones en las que un titular de información personal identificable (PII) se pone en contacto con el responsable del tratamiento "equivocado" (por ejemplo, procedimientos de reenvío, acuerdos de tiempo de respuesta).
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.7 Contratos con procesadores de información personal identificable | En función de si la relación es de control conjunto o de responsable-encargado del tratamiento, se aplican diferentes requisitos contractuales. |
| A.1.3.3 Información para los responsables de PII | Los responsables conjuntos del control deben ponerse de acuerdo sobre quién proporciona qué información y cómo. |
| A.1.3.2 Obligaciones con los directivos de PII | La responsabilidad de gestionar las solicitudes de los interesados debe repartirse entre los responsables conjuntos del tratamiento. |
| A.1.2.6 Evaluación del impacto en la privacidad | Los acuerdos de procesamiento conjunto pueden activar los requisitos de PIA. |
| A.1.5.2 Base para la transferencia de información personal identificable entre jurisdicciones | El intercambio de información personal identificable entre responsables conjuntos del tratamiento debe estar regulado. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de procesamiento deben identificar los acuerdos de control conjunto. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito apareció como la Cláusula 7.2.7 (controlador conjunto de PII). El requisito principal no ha cambiado: los controladores conjuntos deben ponerse de acuerdo sobre sus respectivas responsabilidades. La reestructuración de 2025 en Cuadro A.1 proporciona una separación más clara entre la declaración de control (A.1.2.8) y la guía (B.1.2.8). Se ha mantenido el énfasis en poner el acuerdo a disposición de los responsables de la información personal identificable, lo que refleja los requisitos de transparencia que son fundamentales tanto para la norma ISO 27701 como para el RGPD. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar acuerdos de control conjunto?
SGSI.online Le ayuda a formalizar, realizar el seguimiento y poner en práctica el control conjunto con claridad:
- Registro del controlador conjunto — Documentar cada acuerdo de control conjunto con las partes involucradas, las actividades de procesamiento cubiertas y el estado del acuerdo.
- Plantillas de asignación de responsabilidades — Matrices de responsabilidad predefinidas que abarcan los derechos de los interesados, la notificación de violaciones de datos, la seguridad y la transparencia, para que no se pase nada por alto.
- Gestión de acuerdos — Almacene, controle las versiones y revise los acuerdos de control conjunto junto con su otra documentación de cumplimiento.
- Avisos de privacidad vinculados — Vincular los acuerdos de corresponsabilidad del tratamiento de datos con los avisos de privacidad que informan a los responsables de la información personal identificable, garantizando así el cumplimiento de los requisitos de transparencia.
- Flujos de trabajo interorganizacionales — Definir y realizar un seguimiento de los procedimientos para el envío de solicitudes de los interesados entre los responsables conjuntos del tratamiento de datos con monitorización del SLA.
- Evidencia lista para auditoría — Generar paquetes de evidencia de cumplimiento que demuestren la asignación de responsabilidades y su implementación operativa.
Preguntas Frecuentes
¿Cómo determinamos si una relación es de control conjunto o de controlador y encargado del tratamiento?
La pregunta clave es quién determina el fines y medios de procesamiento. Si ambas organizaciones influyen en el por qué y el cómo se procesa la información personal identificable (PII), se trata de un corresponsable del tratamiento. Si una organización determina la finalidad y la otra simplemente actúa siguiendo instrucciones, se trata de una relación de responsable-encargado del tratamiento. En la práctica, muchas relaciones se sitúan en una zona gris. Considere lo siguiente: ¿tiene la otra parte algún interés propio en el resultado del procesamiento? ¿Decide qué datos recopilar o cómo utilizarlos? Si la respuesta es afirmativa, es probable que se trate de un corresponsable del tratamiento en lugar de un encargado del tratamiento.
¿Puede un controlador conjunto ser considerado responsable de los fallos del otro?
Conforme al artículo 26(3) del RGPD, los titulares de datos personales pueden ejercer sus derechos frente a cualquiera de los corresponsables del tratamiento, independientemente de los acuerdos internos. Esto significa que, si un responsable del tratamiento no atiende la solicitud de un interesado, el otro puede ser considerado responsable. Las autoridades de control también pueden emprender acciones coercitivas contra cualquiera o todos los corresponsables del tratamiento. Los acuerdos internos pueden asignar la responsabilidad financiera entre las partes, pero no pueden limitar los derechos de los titulares de datos personales ni las facultades de las autoridades reguladoras.
¿Qué debemos comunicar a los responsables de PII sobre el control conjunto del sistema?
La esencia del acuerdo debe estar disponible para los titulares de datos personales. Como mínimo, esto debe incluir: la identidad de cada corresponsable del tratamiento, los tipos de tratamiento de los que es responsable cada uno y cómo los titulares de datos personales pueden ejercer sus derechos (incluido un punto de contacto). Esta información suele proporcionarse en el aviso de privacidad. No es necesario revelar todos los detalles del acuerdo interno, sino lo suficiente para que las personas comprendan quién es el responsable y cómo contactar con él.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
